안녕하세요, 보안클라우드 입니다.

이번 포스팅에서는 현재 활발하게 이슈화 되고 있는 멀웨어(Malware)에 대해서 알아보려고 합니다.

​

20년대로 진입하면서 랜섬웨어를 포함한 멀웨어 공격으로 국내 뿐만 아니라 전세계적으로 그 피해 정도가 점점 심각화 되고 있는데, 21년도에는 이러한 공격에 대응하기 위해 프랑스, 독일 등 8개의 유로국이 연합하여 조사 및 사법활동을 진행할 정도로 멀웨어는 현재 큰 보안 이슈가 되고 있습니다.

우크라이나 전쟁에도 네트워크 공격을 통해 활발히 Malware 기술이 사용되고 있음(eurojust, 2024)

​

'악성코드의 시한폭탄'이라고도 불리는 이 멀웨어의 정의 부터 살펴보면,

멀웨어란 엔드포인트 디바이스의 정상적인 사용을 저해하거나 정상적인 사용에 방해가 되는 악성 어플리케이션.

Microsoft.com

멀웨어는 사용자를 속여서 디바이스의 정상적인 사용을 방해하는 소프트웨어를 총칭하는 개념이라고 할 수 있으며, 이를 통해 공격자는 하나 이상의 기법(Phishing, Randsomeware 등)을 통해 디바이스에 접근하고 추가적인 공격을 자행할 수 있습니다. '디바이스의 정상적인 사용을 저해'한다는 의미가 워낙 방대한 만큼 멀웨어의 종류와 유형도 다양한데, 그 중에는 우리에게도 많이 익숙한 바이러스, 웜, 트로이목마, 스파이웨어 등과 같은 악성 프로그램들이 포함되어 있습니다.

실시간으로 배포되고 있는 멀웨어의 종류와 유형은 점점 다양화되고 심화되고 있음(any.run. 멀웨어 리포트 사이트)

멀웨어도 '소프트웨어'라는 특성 상, 사회공학기법과 같이 정상적인 프로그램(혹은 URL)으로 위장하여 희생자로 하여금 다운로드 및 실행되어야 한다는 전제조건이 존재하는데, 예를 들면 과거 불법적인 경로로 배포되는 크랙 버전의 프로그램이나 영화, 음악 등 미디어 자료를 다운로드하는 과정에서 악성 프로그램이나 코드가 함께 저장, 실행되는 사례가 그 대표적인 케이스라고 할 수 있습니다.

​

Malware 실행 흐름은 다운로드 혹은 링크 접근에서 시작되며, 보통 난독화된 페이로드 전송을 통해 통신하기 때문에 탐지가 어려움(Elastic Security Labs)

​

하지만 최근의 멀웨어의 경우 스테가노그래피 등 정교한 디버깅 방지 기술들을 활용하여 다운로드 과정에서 탐지가 어렵고, 정보를 송수신 하는 단계의 페이로드를 난독화하기 때문에 과거의 단순 바이러스 프로그램과는 차원이 다른 최신 기술이 적용되어 개발되고 있습니다. 대표적인 예로 현재도 많이 사용되고 있는 "피카봇"의 경우, 정식적인 프로그램으로 보이기 위해 알려진 OS에서 제공하는 Repository 정보를 사용하여 개발된 탓에 설치 과정에서 탐지가 어렵고, 일단 설치되고 나면 단순 백그라운드에서 실행되고 있는 것과 달리 특정 Memory 주소에 상주하며 악성코드를 실행하기 때문에 EDR(Endpoint Detection and Response) 룰셋에서도 탐지 및 삭제가 거의 불가합니다.

피카봇 악성코드의 경우, 수많은 난독화와 우회 기술이 적용되어 분석이 어렵고 실행되고 난 이후에도 정확한 대처가 어려움.(Elastic Security Labs 분석자료 참고)

​

그렇다면 이렇게 유행처럼 번지는 멀웨어에 대처하기 위해 우리는 어떤 조치를 취해야 할까요? 누구나 멀웨어 공격의 피해자가 될 수 있지만, 다음과 같은 방법을 통해 미리 예방이 가능합니다.

​

바이러스 백신 프로그램 설치

우선적으로 일반 사용자나 조직에서 운영 중인 시스템에 대하여 엔드포인트 보안 솔루션을 적용하여 멀웨어 다운로드 및 실행 여부를 실시간으로 탐지하고 방지합니다.

​

고급 전자 메일 및 엔드포인트 보호 구현

대부분의 멀웨어 공격의 시작점은 다운로드에서 시작되기 때문에, 공격의 시작점이 되는 메일이나 SMS에 악성 코드를 탐지 할 수 있는 기술을 적용하거나 적용된 프로그램을 사용하여 업무에 응용합니다.

​

정기적인 보안 교육 진행

정기적인 교육을 통해 사용자로 하여금 피싱을 포함한 사이버 공격의 징후를 알려주고, 안전한 근무 방식과 개인 디바이스에 대한 보안사고를 자체적으로 방지할 수 있도록 해야 합니다.

​

클라우드 및 오프라인 백업

데이터가 멀웨어에 감염될 경우를 대비하기 위해 주기적으로 백업을 진행하여 사고 발생 시 데이터 복구가 용이할 수 있도록 대비합니다.

​

소프트웨어 최신버전 유지

바이러스 백신 솔루션을 최신 버전으로 유지하는 것 외에도 다른 모든 시스템과 소프트웨어도 업데이트와 패치를 항상 최신으로 유지하여 보안 취약성을 최소화합니다.

지금까지 멀웨어에 대해 간단히 알아보았습니다. 물론 안전한 대처를 위해 보안 프로그램과 같은 IT보안기술의 발전과 적용도 필요하겠지만, 멀웨어는 발견하기 쉽지 않은 경우가 많기 때문에 무엇보다도 조직과 개인의 보안 의식을 갖추고 의심스러운 게시물이나 URL을 접근하지 않는 등의 자체적인 노력이 밑받침되어야 된다고 생각됩니다. 또한 사용 중인 컴퓨터나 모바일 디바이스의 성능이 눈에 띄게 느려지진 않았는 지 항상 주의를 기울이고 업무에 임하는 자세도 중요할 것 같습니다.

​

이만 긴 글을 마치고, 다음 포스팅에서는 더욱 유익한 내용으로 찾아뵙겠습니다.